Zabezpieczenia oprogramowania układowego

  • Artykuł

W tym artykule opisano, jak firma Microsoft zabezpiecza ekosystem sprzętu w chmurze i łańcuchy dostaw.

Zabezpieczanie ekosystemu sprzętu w chmurze

Firma Microsoft aktywnie współpracuje w ekosystemie sprzętu w chmurze, aby zwiększyć ciągłe ulepszenia zabezpieczeń przez:

  • Współpraca z partnerami sprzętowymi i układowymi platformy Azure (takimi jak producenci składników i integratorzy systemów) w celu spełnienia wymagań dotyczących zabezpieczeń sprzętu i oprogramowania układowego platformy Azure.

  • Umożliwienie partnerom ciągłej oceny i poprawy stanu zabezpieczeń swoich produktów przy użyciu wymagań zdefiniowanych przez firmę Microsoft w takich obszarach jak:

    • Bezpieczny rozruch oprogramowania układowego
    • Bezpieczne odzyskiwanie oprogramowania układowego
    • Bezpieczna aktualizacja oprogramowania układowego
    • Kryptografia oprogramowania układowego
    • Zablokowany sprzęt
    • Szczegółowe dane telemetryczne debugowania
    • Obsługa systemu sprzętowego modułu TPM 2.0 w celu włączenia mierzonego rozruchu

  • Angażowanie się w projekt zabezpieczeń Open Compute Project (OCP) i współtworzenia go w ramach opracowywania specyfikacji. Specyfikacje promują spójność i przejrzystość bezpiecznego projektowania i architektury w ekosystemie.

    Uwaga

    Przykładem naszego udziału w projekcie Zabezpieczeń OCP jest specyfikacja sprzętowego bezpiecznego rozruchu .

Zabezpieczanie łańcuchów dostaw sprzętu i oprogramowania układowego

Dostawcy sprzętu i dostawcy sprzętu w chmurze dla platformy Azure są również zobowiązani do przestrzegania procesów zabezpieczeń łańcucha dostaw i wymagań opracowanych przez firmę Microsoft. Procesy tworzenia i wdrażania sprzętu i oprogramowania układowego są wymagane do śledzenia procesów cyklu życia programowania zabezpieczeń firmy Microsoft (SDL), takich jak:

  • Threat Modeling
  • Bezpieczne przeglądy projektu
  • Przeglądy oprogramowania układowego i testy penetracyjne
  • Zabezpieczanie środowisk kompilacji i testowania
  • Zarządzanie lukami w zabezpieczeniach i reagowanie na zdarzenia

Następne kroki

Aby dowiedzieć się więcej o tym, co robimy, aby zwiększyć integralność i bezpieczeństwo platformy, zobacz: